Facebook 
Pinterest Crypto의 버그 바운티 — 플랫폼 안전을 보장하는 가장 좋은 방법?
암호화 회사는 종종 해커가 자신보다 보안 시스템을 더 잘 아는 어려운 방법을 발견합니다. 암호 화폐 세계의 해킹으로 인해 수억 달러 상당의 토큰이 도난 당할 수 있으며 종종 회사의 미래의 운명이 보안 조치에 영향을 미칠 수 있습니다. 해치를 막기 위해 회사는 버그 현상금을 제공합니다..
이러한 현상금은 본질적으로 해커가 소프트웨어를 손상 시키도록 권장하는 경쟁입니다. 그런 다음 해커는 악용되기 전에 버그를 패치 할 수 있도록 각 회사에 취약성 보고서를 제출합니다. 보상으로 성공한 해커에게는 현상금이 지급됩니다..
대부분의 회사는 버그의 심각도에 따라 보상 가격을 책정하여 엄청난 규모로 현상금을 제공합니다. 바운티는 낮은 수준의 수정에 대해 약 $ 50에서 $ 100에서 시작하며 일반적으로 중요한 버그의 경우 약 $ 10,000로 제한됩니다. 드문 경우지만 해커에게 더 많은 수여.
Microsoft와 Pentagon의 첫 번째 버그 바운티를 시작한 Luta Security의 창립자이자 CEO 인 Katie Moussouris는 버그 보상 체계가 어떻게 사용될 수 있는지 Cointelegraph에 설명했습니다.
“버그 현상금은 조직 내부의 취약점을 먼저 예방하고 탐지하는 데 초점을 맞춘 사전 보안 활동을 보완하는 데 가장 유용하고 효율적입니다. 조직이 좋은 보안 관행을 수립하면 버그 현상금을 통해 조직이 놓친 보안 버그를 식별 할 수 있습니다. 버그 현상금만으로는 충분하지 않습니다. “
소프트웨어를 개발하는 대부분의 회사에는 버그 현상금이 있습니다. 암호화 세계에서 이러한 프로그램의 필요성은 회사 규모에 관계없이 똑같이 중요합니다. 에 따르면 보고서 HackerOne이 실시한 회사는 2023 년 버그 현상금으로 $ 878,000를 지불했습니다. Guido Vranken, 네덜란드 연구원 받은 7 일 이내에 12 개의 버그를 발견 한 후 EOS로부터 $ 120,000의 지불금은 Cointelegraph에 암호화 회사의 지분이 높다고 말했습니다.
“글로벌 디지털 통화의 경우 다른 많은 프로젝트 나 웹 사이트보다 훨씬 더 많은 문제가 있습니다. 자산 절도가 가장 확실한 예이지만, 홍보와 환율 간의 시너지 효과로 인해 순손실은 널리 알려진 취약점으로 인해 발생할 수도 있습니다.”
가장 최근의 버그 현상금 중 하나는 글로벌 메시징 앱인 Telegram에서 나옵니다. 9 월 24 일 Telegram Contests 채널에 발표 된 회사는 개발자들에게 TON 블록 체인을 악용하고 취약점 보고서를 제출할 것을 촉구하고 있습니다..
해커가 다른 사용자의 지갑에서 자금을 훔칠 수있을 정도로 TON 블록 체인의 버그를 악용 할 수 있다면 Telegram은 Augur의 중요한 문제와 일치하는 금액 인 최대 $ 200,000를 지불 할 것입니다. 하사품 암호 화폐 역사상 가장 큰 보상 중 하나입니다. 이 콘테스트는 10 월 말에 Telegram의 네이티브 디지털 토큰 인 Gram의 뜨겁게 예상되는 출시를 배경으로 진행됩니다..
EOS가 최고의 자리를 차지합니다
소규모의 신생 기업이 버그 현상금을 제공하는 데 가장 적극적 일 수 있다고 생각하고 싶지만 EOS의 뒤를 이은 회사 인 Block.one은 2023 년에 $ 534,500으로 현상금 보상으로 1 위를 차지하여 그해 모든 현상금의 60 %를 지불했습니다. , 보고서에 따르면.
EOS에 따르면 프로필 HackerOne에서 회사는 저 위험 보고서에 대해 최대 $ 1,000, 중요 보고서에 대해 최대 $ 10,000를 지불합니다. 이 프로필은 또한 최종 금액은 항상 보상 패널의 재량에 따라 결정되며 예외적 인 취약성에 더 높은 보상이 주어집니다..
2023 년 5 월 EOS 바운티 프로그램이 시작된 후 Vranken은 설명 회사가 발견 한 결과 보안에 대한 접근 방식을 강화한 방법 :
“보고 된 버그는 신속하게 분석되고 공개 저장소에서 수정되었습니다. 처음에는 [EOS CTO] Daniel Larimer와 저는 Telegram에서 파일을주고 받았기 때문에 프로세스가 매우 임시적이었습니다.하지만 그 이후로는 HackerOne에서 버그 바운티 프로그램을 실행하기 시작했습니다. 버그 파인더와 EOS 팀 모두.”
EOS는 2023 년에 해커에게 계속 보상을 지급하여 지금까지 5 가지 중요한 취약점에 대한 버그 현상금을 지급했습니다. 1 월 10 일 EOS는 HackerOne을 통해 5 명의 화이트 햇 해커에게 총 40,750 달러를 수여했으며 다른 연구원은 추가로 10,000 달러의 현상금을 받았습니다..
Coinbase는 두 번째로 큰 지출입니다
세계에서 가장 큰 암호 화폐 거래소 중 하나 인 Coinbase는 2023 년 총 $ 290,381을 할당하여 바운티에 두 번째로 많은 지출을하고 있습니다.이 회사는 2023 년 중반에 사용자가 크게 증가한 이후 여러 가지 중요한 문제를 경험했습니다. 자금 지연 또는 누락 및 서비스 중단.
이 회사는 2023 년 2 월에 중요한 버그를보고 한 대가로 3 만 달러를 추가로 지급했습니다., 따라 Coinbase의 취약성 공개 프로그램에. 당시 버그에 대한 세부 사항은 공개되지 않았지만 버그는 플랫폼에서 사상 최대의 보상을 받았습니다. Coinbase는 저 위험 사례에 대해 $ 200, 중간 수준의 문제에 대해 $ 2,000, 중요한 버그에 대해 최대 $ 50,000를 지불하는 4 단계 현상금 프로그램을 운영합니다..
Coinbase의 HackerOne 프로필에 따르면 심각한 영향 악용은 공격자가 “시스템에서 민감한 데이터를 읽거나 수정하고, 시스템에서 임의의 코드를 실행하거나, 어떤 방식 으로든 디지털 또는 법정 화폐를 유출 할 수있는”상황으로 구성됩니다.
관련 : 수정 후 한 달에 가짜 XMR Minting 버그 해결에 대한 Monero 보고서
이 회사는 또한 영향이 적은 문제를 평가하기위한 지침을 마련했습니다. “공격자는 사용자 하위 집합에 영향을 미치는 무단, 민감도가 낮은 정보를 소량 확보하거나 시스템의 정확성과 성능에 약간 영향을 미칠 수 있습니다.”
보고 된 문제를 해결하는 것과 관련하여 회사는 이해 속도가 느려진 역사를 가지고 있습니다. 네덜란드 회사가 사용자가 Ethereum (ETH)에서 “원하는만큼”훔칠 수있는 스마트 계약 결함을 발견 한 후 Coinbase는이를 수정하는 데 한 달이 걸렸다 고합니다. Coinbase는 발견 뒤에 회사에 $ 10,000의 보상을 지불했습니다..
Tron이 3 위
TRX 코인 뒤에있는 트론 재단은 버그 바운티에 세 번째로 많은 지출을했으며, 15 개 보고서에 총 $ 78,800에 달했습니다. 현재이 회사는 총 $ 85,400의 현상금을 지불했으며 가장 높은 $ 10,000로 HackerOne 사용자 nu11pe에게 미공개 보고서를 요청했습니다..
회사의 현상금 프로그램은 저 위험 취약점에 대해 $ 100, 중간 위험에 $ 3,000, 고위험에 $ 6,000, 중요 문제에 대해 최대 $ 10,000를 지불합니다. Tron의 HackerOne 프로필 설명 “모든 코드를 원격으로 실행하여 java-tron 노드를 제어 할 수있는 버그”와 같은 중요한 결함 및 개인 키 유출을 유발할 수있는 결함.
지난 5 월, 회사는 블록 체인을 무너 뜨릴 수있는 심각한 취약점을 공개했습니다. HackerOne에 대한 발표는 공격자가 스마트 계약에 악성 코드를 구현하여 TRX 네트워크에 대한 분산 서비스 거부 (DDoS) 공격을 통해 사용 가능한 모든 메모리를 앗아 갈 수 있음을 나타냅니다..
이 회사는 한 명의 개인이 단일 머신을 사용하여 DDoS 공격을 수행하여 전체 또는 51 %의 고위 노드를 공격함으로써 네트워크를 사용할 수 없게 만들 수 있다고 덧붙였습니다. 버그는 1 월 14 일에보고되었지만 이미 수정 된 후에 만 공개적으로 발표되었습니다. 취약점 배후 연구원은 $ 1,500를 받았습니다..
버그 현상금은 완벽한 시스템이 아닙니다
버그 바운티 프로그램은 회사가 시스템에 대한 윤리적 해킹에 대해 보상하는 건전한 환경을 분명히 조성하지만, 그 개념에 비판이없는 것은 아닙니다. 가장 최근에 저명한 암호 화폐 인물 Dovey Wan은 Telegram이 스마트 계약에 대한 개발을 개시하기로 결정한 것을 비판했습니다. 완이 나타났다 흠잡다 회사가 소프트웨어 개발 프로세스에 재투자하지 못한 사례로이 행사는 다음과 같이 말했습니다.
“죄송 합니다만 10 억이 넘는 프로젝트가 500mm 이상의 사용자가 합당한 블록 탐색기를 제대로 만들 수없는 경우가 있습니까? Telegram 팀 내에서이 TON 네트워크의 우선 순위가 무엇인지, 그리고 그들이 암호 화폐 관련 물건에 메가 보물을 어떻게 사용할지 의심해야합니다. ”
Luta Security의 CEO 인 Katie Moussouris는 Cointelegraph에 버그 현상금이 기존 보안 구조의 중요한 허점을 지적하는 데 효과적이지만 전용 보안 프로세스를 마련하는 것을 대체 할 수는 없다고 말했습니다.
“기업은 보안 실사를위한 저렴한 대안으로 버그 현상금을 사용할 수 없습니다. 낯선 사람에게 결함을 고칠 능력없이 결함을 지적 해달라고 요청하는 것만으로도 버그 현상금을 과도하게 사용하면 조직을 빠르게 압도 할 수 있습니다. “
Vranken은 연구원으로서의 경험을 바탕으로 버그 바운티 프로그램을 보유한 암호 회사가 회사를 신뢰할 수 있음을 나타냅니다.
“저는 제대로 작동하지 않는 현상금 프로그램보다 적절하게 운영되는 현상금 프로그램이있는 암호 화폐 프로젝트를 더 빨리 신뢰합니다. 이 입장은 연구자로서의 저의 경험과 널리 사용되는 소프트웨어조차도 적절한 인센티브 없이는 코드에 대한 진지한 면밀한 조사에 의해 반드시 뒷받침되지 않는다는 사실에 대한 제 인식에 의해 형성됩니다.”
Vranken은 계속해서 재능 수준이나 투자 금액에 관계없이 버그없이 소프트웨어를 구축하는 것은 매우 어렵다고 덧붙였습니다.
“그 밖에도 버그 바운티 프로그램은 버그를보고하기위한 공식 채널을 구축하고 (재정적 보상을 통해) 연구에 감사하겠다고 맹세함으로써 연구원에 대한 비 적대감을 나타냅니다.”
현재 버그 바운티 시스템은 도덕적 성향이나 제공되는 보상에 따라 책임감있게 행동하는 해커에 의존합니다. 해커가 계획에 광고 된 것보다 더 많은 돈을 버틸 수 있거나 결함에 대한 세부 사항을 경쟁자에게 판매 할 수있는 것처럼 보일 수 있지만 Moussouris는 그러한 정보에 대한 수요가 많은 사람들이 인식하는 것만 큼 높지 않다고 말했습니다.
“모든 버그를 사기 위해 기다리는 버그 구매자가 무한한 것은 아닙니다. 이는 일반적인 신화입니다. 그러나 암호 화폐에서는 다른 영역보다 버그 구매자가 더 많습니다. 즉, 버그 사냥꾼이 이익을 우선시한다면, 그들은 더 많은 직접적인 이익을 위해 암호 화폐에서 발견 한 버그를 팔기보다는 악용하는 것을 선택할 수 있습니다.”
전 세계의 암호 화폐와 소프트웨어 회사가 모두 광고하는 보상은 버그 현상금 사냥이 수익성있는 경력을 제공 할 수 있다는 인상을 줄 수 있지만 현실은 경쟁이 높고 액세스가 균등하게 나뉘 지 않습니다. Moussouris는 Cointelegraph에 비공개 버그 현상금에 초대받은 사람들이 종종 경쟁 우위를 가지고 있다고 설명했습니다.
“특히 사냥꾼이 찾는 방법을 알고있는 버그 유형이 비교적 일반적인 버그 유형 인 경우에는 일반적으로 보상되지 않는 작업이 많습니다. 특정 취약점을 가장 먼저보고 한 사람 만 보수를 받게되므로 가장 성공적인 버그 현상금 사냥꾼은 경쟁자가 적은 비공개 버그 현상금에 초대되는 경향이 있습니다. “
Vranken에게 버그 현상금 사냥은 혼합 된 가방입니다. 보상이 항상 프로젝트에 투입된 시간과 일치하는 것은 아니기 때문입니다.
“노력과 보상을 미리 규정하는 계약 작업에 비해 버그 현상금은 (당신이 큰 보상을받는 버그를 발견 할 때) 기뻐하거나 실망 스러울 수 있습니다 (결과를 얻지 못한 채 무언가에 많은 시간을 소비하거나 더 낮은 기대했던 것보다 큰 보상).”